Árnyékban tapogatózó informatikusok

​A nem engedélyezett, ellenőrizetlen eszközök, szoftverek és felhős szolgáltatások használata komoly kockázatot jelent a szervezetek adatbiztonságára.
 

Az árnyékinformatika - más néven shadow IT - a gyűjtőneve minden olyan alkalmazásnak, hardvernek és informatikai megoldásnak, amelyet az alkalmazottak az IT csapat jóváhagyása és ellenőrzése nélkül használnak. Ezek lehetnek vállalati szintű megoldások is, ám a leggyakrabban magánfelhasználásra szánt technológiákról van szó. Ide tartozhatnak egyebek mellett a felhős fájltároló és -megosztó szolgáltatások, az azonnali üzenetküldő és levelezőprogramok, valamint a csoportmunka szoftverek.
 
Az ESET szakértői szerint az árnyékinformatika létrejötte mögött általában az áll, hogy az alkalmazottak megkerülik a szerintük nem eléggé hatékony vállalati IT-eszközöket, amelyekről úgy gondolják, hogy gátolják produktivitásukat. A helyzeten pedig tovább rontott a világjárvány miatt sok helyen bevezetett home office, ami az árnyékinformatika jelentette fenyegetettségeket még inkább fokozta.
 
Egy 2019-es kutatás szerint az amerikai munkavállalók 64 százaléka létrehozott már legalább egy olyan fiókot, amiről nem szólt az IT csoportnak, miközben azokat üzleti célra is használták. Érdekesség, hogy az árnyékinformatika iránti "hajlandóság" az életkorral változik: a fiatalabb generáció sokkal inkább hajlamos olyan eszközöket használni, amelyeket nem engedélyezett számukra a munkáltatójuk.
 
Miért veszélyes az árnyékinformatika?

• Ellenőrzések hiánya: a szoftverek biztonsági frissítések nélkül vagy rosszul konfiguráltan (pl. gyenge jelszavakkal) működnek.
• Nincs vállalati vírusirtó vagy egyéb biztonsági megoldás az ellenőrizetlen eszközökön.
• Nem lehet ellenőrizni és megakadályozni a véletlen vagy szándékos adatszivárgást, adatmegosztást.
• Problémák adódhatnak a megfelelőséggel és az auditálással.
• Az árnyékinformatikai alkalmazások és adatok nem részei a vállalati biztonsági mentésnek.

 
Hogyan kezeljük az árnyékinformatikát?
 
A legfontosabb, hogy legyen egy világos biztonsági szabályzat, ami kitér az engedélyezett és nem engedélyezett szoftverekre és hardverekre, illetve részletezi az engedélykérés folyamatát. Emellett fontos az alkalmazottak ösztönzése az átláthatóságra. A biztonságtudatossági képzések során ismertetni kell az árnyékinformatika kockázatait. Fontos meghallgatni a munkavállalókat arról, hogy milyen eszközökkel tudnának hatékonyabban dolgozni, vagy éppen mi az, ami hátráltatja őket a munkájuk során.
 
Az árnyékinformatika elleni küzdelemben sokat segíthetnek azok a védelmi és felügyeleti technológiák is, amelyek képesek kikényszeríteni az ellenőrzött eszközök használatát.